配置与管理防火墙

1、1/78，9.1知识，9.1.1防火墙概述，什么是1防火墙，防火墙通常具有以下特征： (一)位置权威。 (2)检测合法性。 (3)性能稳定性。 2/78，9.1.1防火墙概述，2防火墙类型，(1)报文分组过滤防火墙。 (2)在线代理防火墙。 (3)状态检测技术。3/78、9.1.2 iptables的介绍，早期的Linux系统采用ipfwadm作为防火墙，但在2.2.0核心被ipchains取代。 linux版本2.4发布后，将正式使用netfilter/iptables数据包过滤系统。 Netfilter/iptables IP数据包过滤系统实际上由netfilter和iptables两个组

2、件组成。 Netfilter是内核集成的一部分，其角色是定义和保存适当的规则。 iptables是用于更改信息过滤规则和其他配置的工具。 用户可以使用iptables为内核空间中存储的当前环境设置适当的规则。 netfilter/iptables数据包过滤系统使Linux服务器能够降低软件成本并提供强大的数据包过滤控制功能。 iptables是最佳的防火墙溶解热。4/78、9.1.3 iptables的机制，netfilter是Linux内核的通用体系结构，每个表由几个“链”(chains )组成，每个链由一个或多个“规则”(rules )组成实际上，netfilter是表的挤压筒，表是链的挤

3、压筒，链是规则的挤压筒。 1iptables名词解释(1)规则(rules )。 设置用于过滤报文分组(如IP地址、通讯端口、连接协议、网络接口等)的具体条件，如表、5/78、(2)操作(目标)。 当报文分组通过Linux时，netfilter检测到该报文分组符合该规则，就对该报文分组进行相应的处理，iptables的动作如表所示，按照9.1.3ipttables的动作原理、6/78、9.1.3ipttables的在分组转发过程中，不同情况下应遵循的规则组合形成了连锁。 规则链分为以下两种。 “内置链”(Build-in Chains )。 使用者定义的链条(User-Defined Chai

4、ns )。 netfilter最常用的是内置链，其中之一是表，8/78，9.1.3 iptables的工作原理，netfilter的5条链相互关联的图，iptables分组转发流程图，8/78，9.1.3 iptables 在收到报文分组的情况下，Netfilter提供以下三种报文分组处理功能： 过滤。 地址转换。 变更。 Netfilter根据报文分组的处理需要，设计了组合链(chain )的filter、nat、mangle三个表。 过滤器。 这是netfilter的差动奥尔特表，通常用于设置过滤器，包含以下内置链： INPUT :适用于发给本机的报文分组。 前向：应用于路由的本地报文分组

5、。 OUTPUT :本地生成的报文分组。 filter表过滤器是强大的，几乎可以设置所有动作。 9/78，9.1.3 iptables的工作原理，nat。 当报文分组建立新连接时，nat表可以修改报文分组并完成网络地址转换。 它包括以下三个内置链： PREROUTING :更改到达的报文分组。 OUTPUT :在路由之前更改本地生成的报文分组。 POSTROUTING :在发送报文分组之前更改报文分组。 nat表仅用于网络地址转换，即转换报文分组的源地址或目标地址，具体行为为DNAT、SNAT和MASQUERADE，详细说明如下。 10/78，9.1.3 iptables的工作原理，mangl

6、e 此表用于特殊的报文分组更改操作，如修改TOS等特性。 Linux 2.4.17内核包含两个内置链：在先、预配置和输出。 当内核2.4.18发布时，mangle表通讯端口其他三个链。 PREROUTING :在路由之前，更改收到的报文分组。 INPUT :适用于向本机发送的报文分组。 FORWARD :更改本地路由的报文分组。 OUTPUT :在路由之前更改本地生成的报文分组。 POSTROUTING :在发送报文分组之前更改报文分组。、11/78、2iptables工作流、9.1.3 iptables工作流、iptables有3个表和5个链，其整个工作流如图所示，12/78、9.1.3ip

7、ttables工作流、 9.1.4 NAT的基本知识网络地址转换器网络地址转换器(NAT )，位于使用私有地址的企业内部互联网和公用地址的网际网络之间，并且主要具备如下功能： (1)从企业内部互联网发送的报文分组，由NAT将私有地址转换为公用地址。 (2)从网际网络接收到的报文分组，由NAT将其公用地址转换为私有地址。 (3)将多服务器和负荷平衡进行通讯端口。 (4)实现透明本代理。 以这种方式，通过计算机使用未注册的私有地址并且在通讯到外部网络时使用已注册的公用IP地址，企业内部互联网大幅降低了连接成本。 此外，NAT还发挥了隐藏内部网络、保护内部网络的作用。 对于外部用户来说，只有使用公共

8、IP地址的NAT才能看到，是像防火墙一样的保密工作对策。14/78、9.1.4 NAT的基本知识，1NAT的进程(1)客户端向运行NAT的计算机传输报文分组。 (2)NAT把报文分组中的通讯端口号码和私有地址变换为自各儿的通讯端口号码和公用IP地址，在把报文分组发送给外部网络的目的地男公关的同时，为了向客户机发送回答信息，将跟踪信息记录在图像表中。 (3)外部网络向NAT发送回答信息。 (4)NAT将接收到的报文分组的通讯端口号码和公用IP地址转换为在客户机的通讯端口号码和内部网络中使用的私有地址，向客户机传送。 上述过程对网络中的男公关和网络外部的男公关是透明的，并且对他们来说可以是直接通讯

9、。 图，18/78，9.1.4 NAT的基本知识，18/78，9.1.4 NAT的基本知识，18/78，9.1.4 NAT的基本知识，18/78，2 NAT的分类(1)源NAT (源NAT，SNAT )。 SNAT更改第一个报文分组的源IP地址。 SNAT在发送报文分组之前立即执行后路由操作。 Linux的IP伪装(MASQUERADE )是SNAT的特殊形式。 (2)目标NAT (目标NAT，目标DNAT )。 DNAT是指更改第一个报文分组的目标IP地址。 DNAT总是在报文分组进入后立即进行预路由动作。 端口转发、负荷平衡、透明本代理都属于DNAT。 9.1.4 NAT的基本知识，19/

10、78，9.2项目工程的设计和准备，9.2.1项目工程的设计，网络建立初期，人们只考虑实现通讯的方法，忽视了网络的安全。 防火墙可以在企业局域网和网际网络之间或与其他外部网络之间相互隔离，限制网络相互网站数据库，从而保护内部网络。 如果许多具有内部地址的设备构成了企业内部互联网，那么该如何连接企业内部互联网和网际网络呢？ 在线代理服务器非常适合于解决企业内部互联网网站数据库到网际网络的问题，并提供网站数据库优化和控制功能。 本项目工程设计了在安装了企业版Linux网络执行操作系统的服务器上安装iptabels。 9.2.2项目工程的准备、iptables的引进必须满足以下条件。 (1)必须安装企

11、业版的Linux网络执行操作系统，保证一般服务正常运行。 客户端使用Linux或Windows网络执行操作系统。 伺服器和用户端可以透过网路相互通讯定。 (2)或者利用虚拟机进行网络环境的设定。20/78、9.3项目工程的实施、9.3.1塔斯克1iptables的安装、21/78、9.3.1塔斯克1iptables的安装、22/78、9.3.1塔斯克1iptables的安装、5iptables服务(使用chkconfig命令自动加载iptables服务，如下所示： (2)ntsysv。 使用ntsysv命令，使用文本格拉夫快速接口设置iptables的自动加载。 知道23/78，9.3.2塔斯

12、克2iptables的基本语法，想利用iptables加强系统安全的话，必须熟练掌握iptables的语法形式。 iptables的语法如下： iptables -t表名-命令-匹配-j操作/营销对象，一个表选项iptables包含三个表：过滤器、nat和mangle 3，用于使用-t残奥参数设置哪些表有效。 例如，可以在nat表中设置规则，使nat跟在-t残奥仪表之后。、iptables -t nat -命令-匹配-j操作/营销对象和-t残奥参数是可选的，如果省略-t残奥参数，则操作过滤器表。 例如： iptables输入icmp-j drop，26/78，9.3.2塔斯克2知道iptabl

13、es的基本语法，26/78，9.3.2塔斯克2知道ipttables的基本语法，26/78， 9.3.2塔斯克2知道ipt表的基本语法iptable-I input2- tcpt- dport 80-ja accept，27/78，3匹配选项使用匹配选项来指定要过滤的报文分组条件。 换句话说，在对报文分组进行过滤时，iptables确定将根据什么行政许可报文分组通过，或者不行政许可通过，并且过滤角度通常可以是诸如源地址、目的地地址、通讯端口号、状态等信息。 使用连接协议进行对照时，指示从iptables所使用的连接协议中，判断是否丢弃这些个的报文分组。 在TCP/IP的网络环境中，许多报文分组

14、使用的连接协议是UDP类型而不是TCP类型，并且在ICMP类型的报文分组中，例如ping命令所使用的是ICMP连接协议。 首先，介绍一般的匹配选项。 更多的介绍请参考相关文献。 9.3.2塔斯克2识别iptables的基本语法，28/78、9.3.2塔斯克2识别ipttables的基本语法，iptable-input-ptcp- sport 80-ja accept，29/78、9.3.2塔斯克2识别ipt table的基本语法角色：根据TCP报文分组的发送目的地通讯端口，检测报文分组是否匹配，即是否指定了报文分组的发送目的地通讯端口，由此判断报文分组的缺失。 指定的通讯端口格式与-sport

15、完全相同。 例如，iptables-inputptcp- dport 80-ja接受，(4)-s或-src或- -源。 角色：按IP源地址核对报文分组。 例如：iptables-aoinput-s1.1.1-jadrop，注意：在地址前面加上英语感叹号会相反，请注意空格。 -s！ 192.168.0.0/24表示除此地址以外的所有地址。31/78、9.3.2塔斯克2将认识iptables的基本语法，ipt tables-inputptcp-ot eth1- ja accept、31/78、 4动作/目标选项动作/目标是如何处理满足条件的报文分组以表格形式介绍常用的操作/目标，9.3.2塔斯克2

16、了解iptables的基本语法，32/78，9.3.2塔斯克3设置了差动奥尔特策略，而ipttables为所有内置链设置了差动奥尔特策略。 如果通过iptables的报文分组不符合链中的任何规则，则根据差动奥尔特策略处理报文分组。 定义差动奥尔特策略的命令格式如下： iptables -t表名-P链名操作，【示例9-1】将过滤器表的输入链的差动奥尔特策略定义为DROP (放弃报文分组)。root server # iptables-input-ja drop，【例9-2】将NAT表的OUTPUT链的差动奥尔特策略定义为ACCEPT (接受报文分组)。 查看根服务器# iptables-tdat

17、-PD out-ja接受、34/78、9.3.4堆塔斯克4配置iptables规则、34/78、【例9-4】过滤器表的前向链的规则。9.3.4塔斯克4配置iptables规则、35/78、2添加、删除、修改规则【例9-5】在filter表的INPUT链中添加规则，拒绝使用ICMP连接协议的所有报文分组的规则。9.3.4塔斯克4构成iptables规则，36/78，9.3.4塔斯克4构成ipttables规则，将规则添加到filter表的INPUT链，该规则使行政许可到TCP连接协议的网站数据库的80通讯端口的报文分组通过。37/78、9.3.4塔斯克4构成禁止规则，其中将新规则插入在过滤器表的输入链的第二条规则之前，该规则不行政许可对TCP连接协议的53端口的网站数据库，而是通过报文分组。38/78、9.3.4塔斯克4构成iptables规则，在【示例9-8】filter表的INPUT链的第一条规则之前插入新的规则，使得源IP地址属于172.16.0.0/16网段的报文分组通过、39/78、9.3.4塔斯克4配置iptables规则，以删除【示例